Was ist ein internes Kontrollsystem? Pflichten nach dem japanischen Unternehmensgesetz und dem japanischen Finanzinstrumente- und Börsengesetz sowie die Verantwortung der Direktoren
Ein internes Kontrollsystem bezeichnet Mechanismen innerhalb eines Unternehmens, die darauf abzielen, rechtswidriges Verhalten zu verhindern und das Auftreten von Informationslecks zu vermeiden. Das interne Kontrollsystem ist sowohl im japanischen Unternehmensgesetz (Japanisches Unternehmensgesetz) als auch im Finanzinstrumente- und Börsengesetz (Japanisches Finanzinstrumente- und Börsengesetz) definiert, und Unternehmen, die bestimmte Anforderungen erfüllen, sind verpflichtet, ein internes Kontrollsystem einzurichten.
In der Unternehmensführung ist es sehr wichtig, ein internes Kontrollsystem ordnungsgemäß einzurichten und zu betreiben und zu pflegen, um die Compliance zu gewährleisten.
In diesem Artikel erklären wir, was ein internes Kontrollsystem ist, insbesondere das interne Kontrollsystem zur Eindämmung des Risikos von Cyber-Vorfällen und die Verantwortung, die ein Direktor trägt.
Was ist ein Internes Kontrollsystem?
Ein internes Kontrollsystem ist ein System, das Unternehmen und Organisationen einrichten und anwenden, um sicherzustellen, dass sie den gesetzlichen Bestimmungen, Vorschriften und Branchenstandards entsprechen.
Insbesondere für börsennotierte Unternehmen ist es notwendig, ein angemessenes internes Kontrollsystem aufzubauen und das Risikomanagement durchzuführen, um das Unternehmensimage und die Markenwahrnehmung zu verbessern.
Internes Kontrollsystem nach dem japanischen Gesellschaftsrecht
Das interne Kontrollsystem nach dem japanischen Gesellschaftsrecht wird in Artikel 362 Absatz 4 Nummer 6 des japanischen Gesellschaftsrechts[ja] definiert als:
Die Einrichtung eines Systems zur Sicherstellung, dass die Ausführung der Aufgaben der Direktoren den gesetzlichen Bestimmungen und der Satzung entspricht, sowie anderer Systeme, die durch eine Verordnung des Justizministeriums als notwendig für die Sicherstellung der Ordnungsgemäßheit der Geschäfte der Aktiengesellschaft und der Unternehmensgruppe, die aus dieser Aktiengesellschaft und ihren Tochtergesellschaften besteht, festgelegt werden.
Es wird als eine ausschließliche Zuständigkeit des Vorstands betrachtet.
Das interne Kontrollsystem nach dem japanischen Gesellschaftsrecht zielt darauf ab, ein System zu schaffen, das die Ordnungsgemäßheit der Geschäfte von Aktiengesellschaften und ihren Tochtergesellschaften und anderen Gruppengesellschaften sicherstellt.
Internes Kontrollsystem nach dem japanischen Finanzinstrumente- und Börsengesetz
Nach dem japanischen Finanzinstrumente- und Börsengesetz sind börsennotierte Unternehmen usw. verpflichtet, einen internen Kontrollbericht einzureichen. Börsennotierte Unternehmen usw. müssen ein internes Kontrollsystem nach dem japanischen Finanzinstrumente- und Börsengesetz aufbauen und dessen Inhalt offenlegen.
Das interne Kontrollsystem nach dem japanischen Finanzinstrumente- und Börsengesetz unterscheidet sich vom Gesellschaftsrecht, da es aus der Sicht des Anlegerschutzes gefordert wird.
Unternehmen, die verpflichtet sind, ein internes Kontrollsystem aufzubauen
Unternehmen, die bestimmte Anforderungen erfüllen, sind verpflichtet, ein internes Kontrollsystem aufzubauen. Die Unternehmen, die diese Verpflichtung tragen, sind im japanischen Unternehmensgesetz (Japanisches Unternehmensgesetz) und im Finanzinstrumente- und Börsengesetz (Japanisches Finanzinstrumente- und Börsengesetz) definiert.
Die Verpflichtung, ein internes Kontrollsystem nach dem Unternehmensgesetz aufzubauen, gilt für große Unternehmen, die einen Aufsichtsrat haben. Ein großes Unternehmen ist ein Unternehmen mit einem Kapital von 500 Millionen Yen oder mehr oder Schulden von 20 Milliarden Yen oder mehr (Artikel 2, Absatz 6 des Unternehmensgesetzes).
Unternehmen, die ein internes Kontrollsystem eingerichtet haben, müssen in ihrem Geschäftsbericht eine Übersicht über den Betrieb des internen Kontrollsystems angeben. Darüber hinaus führen in Unternehmen mit einem Aufsichtsrat die Aufsichtsratsmitglieder als Teil ihrer Prüfung der Geschäftsführung der Direktoren eine Prüfung des internen Kontrollsystems durch.
Andererseits sind nach dem Finanzinstrumente- und Börsengesetz die Unternehmen, die ein internes Kontrollsystem aufbauen und dessen Inhalt offenlegen müssen, börsennotierte Unternehmen usw., die einen Wertpapierbericht einreichen. Börsennotierte Unternehmen usw. müssen für jedes Geschäftsjahr zusammen mit dem Wertpapierbericht einen Bericht über das interne Kontrollsystem veröffentlichen.
Vorstandsmitglieder tragen auch Verantwortung für Mängel im internen Kontrollsystem
Wer trägt die Verantwortung, wenn es zu Cyber-Vorfällen wie unberechtigtem Zugriff oder Informationslecks im Zusammenhang mit dem internen Kontrollsystem kommt?
Wenn es aufgrund von Schwachstellen im Sicherheitssystem zu Informationslecks kommt, kann derjenige, der durch das Informationsleck Schaden erlitten hat (zum Beispiel Kunden), möglicherweise Schadensersatz aufgrund von Vertragsverletzung oder unerlaubter Handlung nach dem Bürgerlichen Gesetzbuch (japanisches Bürgerliches Gesetzbuch) verlangen.
Vorstandsmitglieder haben nach dem Gesellschaftsrecht (japanisches Gesellschaftsrecht) die Pflicht, ihre Aufgaben mit der Sorgfalt eines guten Geschäftsführers zu erfüllen, um dem Unternehmen keinen Schaden zuzufügen, da sie vom Unternehmen mit der Geschäftsführung beauftragt sind.
Nach der Rechtsprechung ist die Pflicht zur Einrichtung eines internen Kontrollsystems eine der Pflichten zur Sorgfalt eines guten Geschäftsführers.
Daher besteht die Möglichkeit, dass, wenn es zu Informationslecks kommt und der Geschädigte Schadensersatz vom Unternehmen verlangt, das Vorstandsmitglied aufgefordert wird, Schadensersatz zu leisten, wenn es als Verstoß gegen die Pflicht zur Sorgfalt eines guten Geschäftsführers angesehen wird, dass das Vorstandsmitglied keine Maßnahmen ergriffen hat, um das Sicherheitsniveau zu erhöhen oder Schwachstellen zu beseitigen.
Urteile zum internen Kontrollsystem
Wie bereits erwähnt, sind Unternehmen und Direktoren verpflichtet, ein internes Kontrollsystem einzurichten. Lassen Sie uns nun anhand konkreter Urteile weiter diskutieren.
Der Yakult-Fall Tokyo District Court Urteil (Tokyo District Court Urteil vom 16. Dezember 2004 (Heisei 16))
Yakult scheiterte bei hochspekulativen Derivatgeschäften, die unter anderem dazu dienten, latente Verluste aus Wertpapieren auszugleichen, und vergrößerte stattdessen seine Verluste. In Reaktion darauf reichte ein Aktionär eine repräsentative Klage ein und forderte 53,3 Milliarden Yen Schadenersatz von der damaligen Geschäftsleitung.
In diesem Fall wurde diskutiert, ob ein Risikomanagementsystem für Derivatgeschäfte eingerichtet wurde oder nicht.
Das Gericht ordnete dem ehemaligen stellvertretenden Präsidenten, der als Vermögensverwalter Derivatgeschäfte durchführte, eine Zahlung von 6,7 Milliarden Yen an, da er “gegen seine Pflichten als Direktor verstoßen hatte”. Die Verantwortung der anderen Geschäftsleitung wurde jedoch nicht anerkannt, da “das Unternehmen ein gewisses Risikomanagementsystem hatte”. Darüber hinaus lehnte es das Gericht ab, Mängel im Risikomanagementsystem anzuerkennen, da das Bewusstsein für das Risiko von Derivatgeschäften nach dem Verlust schnell entwickelt wurde (= es war zum Zeitpunkt des Auftretens nicht ausreichend). Das Urteil des Tokyo High Court im Mai 2008 (Heisei 20) unterstützte das erste Urteil, ebenso wie das Supreme Court.
In diesem Prozess wurde festgestellt, dass der Inhalt des internen Kontrollsystems unter Bezugnahme auf administrative Studien und Risikofälle in Bezug auf das Risikomanagement bestimmt werden sollte.
Der J-Com-Aktienfehlauftragsfall (Tokyo High Court Urteil vom 24. Juli 2013 (Heisei 25))
In diesem Fall gab ein Mitarbeiter von Mizuho Securities versehentlich einen Auftrag in den Computer ein, der “61.000 Yen pro Aktie verkaufen” für J-Com-Aktien, die von einem Kunden in Auftrag gegeben wurden, anstatt “1 Yen für 610.000 Aktien verkaufen”, was dem Kunden erheblichen Schaden zufügte.
Mizuho Securities bemerkte den Fehler und versuchte, den Auftrag zu stornieren, aber aufgrund eines Fehlers im System der Tokyo Stock Exchange wurde die Stornierung nicht durchgeführt, und der Aktienkurs stürzte aufgrund einer ungewöhnlich großen Anzahl von Verkaufsaufträgen ab. Infolgedessen entstand ein Schaden von über 40 Milliarden Yen. Mizuho Securities behauptete, dass der Verlust von über 40 Milliarden Yen aufgrund der Unfähigkeit, den fehlerhaften Auftrag zu stornieren, auf einen Fehler im System der Tokyo Stock Exchange zurückzuführen war, und forderte Schadenersatz von der Börse.
In diesem Prozess war ein großer Streitpunkt, ob der “Systemfehler grobe Fahrlässigkeit darstellt”. Das Tokyo High Court ordnete der Tokyo Stock Exchange eine Zahlung von etwa 10,7 Milliarden Yen an, da “es grobe Fahrlässigkeit der Tokyo Stock Exchange war, die Befugnis zur sofortigen Handelsaussetzung nicht auszuüben”.
Ob es technisch möglich war, diesen Fehler zu entdecken und zu beheben, war ebenfalls ein Streitpunkt, aber das Tokyo High Court sagte: “Die Behauptungen der vorgelegten Expertenmeinungen widersprechen sich und es ist schwierig, eine Entscheidung zu treffen”, und vermied eine Entscheidung über technische Aspekte.
Allerdings wurde die grobe Fahrlässigkeit der Tokyo Stock Exchange anerkannt, da sie trotz der offensichtlichen Anomalie im Handel den Handel nicht stornierte.
Wie Sie sehen können, gibt es Fälle, in denen rechtswidriges Verhalten anerkannt wird, indem man sich auf Aspekte außerhalb der Technik konzentriert, wenn das Gericht technisch nicht entscheiden kann.
Zusammenfassung: Bitte konsultieren Sie einen Anwalt für den Aufbau eines internen Kontrollsystems
Insbesondere für börsennotierte Unternehmen ist es notwendig, ein internes Kontrollsystem ordnungsgemäß aufzubauen und zu betreiben, um Risiken zu managen.
Im Falle eines unerwarteten Vorfalls im Zusammenhang mit der Informationssicherheit besteht das Risiko, dass das Unternehmen für eine Vertragsverletzung haftbar gemacht wird, wenn festgestellt wird, dass es keine angemessenen Maßnahmen zur Informationssicherheit ergriffen hat, die auf die Größe und Art des Unternehmens abgestimmt sind. In diesem Fall besteht auch die Möglichkeit, dass den Direktoren Schadenersatzansprüche wegen Verletzung der Sorgfaltspflicht geltend gemacht werden. Bitte konsultieren Sie frühzeitig einen Anwalt, der sich mit IT und Unternehmensrecht auskennt, bezüglich des internen Kontrollsystems für die Informationssicherheit.
Verwandter Artikel: Wie kann man Sicherheitsvorfälle bei Auftragnehmern verhindern? Erklärung zum Aufbau und Betrieb des internen Kontrollsystems des Auftraggebers[ja]
Maßnahmen unserer Kanzlei
Die Monolith Rechtsanwaltskanzlei ist eine Kanzlei mit hoher Fachkompetenz in IT, insbesondere im Internet- und Rechtsbereich. Die Notwendigkeit einer rechtlichen Überprüfung beim Aufbau von internen Kontrollsystemen nimmt stetig zu. Unsere Kanzlei bietet vielen Unternehmen Lösungen zur Einhaltung von Compliance-Richtlinien an. Weitere Details finden Sie im folgenden Artikel.
Bereiche, in denen die Monolith Rechtsanwaltskanzlei tätig ist: IT & Start-up Unternehmen Recht Dienstleistungen[ja]
Category: General Corporate
Tag: General CorporateIPO